数据泄露案件频发：涉事主体多涉日常生产生活，最高罚款100万元

21世纪经济报道 记者 郑雪 北京报道

随着数字经济的进一步发展，数据成为一种更加宝贵的资源。某种程度上来说，谁拥有的数据越多、越好，谁在市场竞争中就将占据更具优势的竞争地位。数据繁荣爆发的同时，数据泄露也引人关注，数据泄露导致个人隐私保护面临更大挑战，同时对于企业经营也会产生相应影响。

2021年9月1日，《中华人民共和国数据安全法》（以下简称《数据安全法》）正式实施，作为数据领域的基础性法律，《数据安全法》坚持安全与发展并重，有助于提升数据安全治理和数据开发利用水平，促进以数据为关键生产要素的数字经济发展。

各地陆续出现适用《数据安全法》的相关案例，记者梳理了今年6月以来，各地监管部门陆续披露的关于数据泄露的相关处罚案件（详见表1）。梳理发现，此番数据泄露治理所涉企业多见于日常生活之中，科技、教育、快消等行业均有涉及，处罚措施多以警告、整改和罚款，最高罚款100万元。责任划分也更加细致，数据管理者和运营者都面临处罚。同时，未做好安全防护、未按规定落实主体保护责任的企业，也被处罚。

（整理/制表：郑雪，来源：公开报道）

1、 此轮数据泄露案件涉及科技、高校等多个行业

通过对近期数据泄露（含有被官方通报存有数据泄露风险，案例1、2、4、10）的案例盘点发现，不同于之前数据泄露案例主要集中在大型互联网公司的印象，6月至今，因数据泄露而被行政处罚的企业多见于涉及公众日常生活的企业。从梳理案例来看，相关案例所涉及行业多为科技公司，同时教育、生活娱乐、咨询、消费等行业都有涉及。而从地域分布来看，此次梳理的案例被处罚的企业多集中在南方和东部地区。

2、 最高被罚100万，多警告、整改、罚款

通过对处罚措施梳理发现，针对数据泄露严重程序，相关主管机关分别做出了责令整改、予以警告、罚款等措施，暂未出现暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等极为严厉的处罚措施。

在罚款金额方面，某科技公司因违规泄露某政府机关采集的敏感业务数据被网安部门罚款100万元（案例9），为此轮罚款最高；同时，该公司项目主管被罚8万元，为对个人罚款最高金额（案例9）。

3、 责任划分更细致，管理、运营均担责

从法律责任划分方面，数据管理者、运营者均需担责。一旦发生数据泄露，依据具体情况，数据拥有主体、第三方科技公司均需负责。

如衡南县网信办（案例5）查处某医院未履行数据安全保护义务造成部分数据泄露，对于对该医院作出责令整改，给予警告，并处罚款。对第三方技术公司及相关责任人处以罚款。 

又如浙江温州公安机关（案例9）对浙江某科技公司及项目主管人员、直接责任人员作出罚款。针对建设单位失管失察、未履行数据安全保护职责的情况，当地纪委监委也对建设单位主要负责同志、部门负责人等追究问责决定。

4、 行业主管、公安网安、网信等负责监管

梳理发现，行业主管、公安机关（多为网安）和各地网信部门，都有权在其管辖范围内对数据泄露做出相应处罚。

《数据安全法》第一章第六条规定，各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。

工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。

公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。

国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。 

5、 未落实网络安全主体责任成主因

梳理相关案例发现，违法的法规主要是数据安全法的第二十七条、第二十九条以及第四十五条（详见表2）。

具体来看，相关公司主要未能落实网络安全保护主体责任，如未能建立网络数据安全管理制度、防护措施不足、未能对已收集数据尤其是包含敏感信息数据进行有效技术保护、未定期展开风险评估等。

本次梳理过程中，即便是尚未发生数据泄露，未按规定落实网络安全和数据安全保护主体责任的企业，没有采取有效技术措施防范相关风险的企业，相关企业也受到了相关处罚（案例1、2、4、10），企业需要做好日常安全防护、全链条流程保障数据安全和网络安全。

（整理/制表：郑雪，来源：《数据安全法》）

Tags：

文章版权声明：除非注明，否则均为财诺分析原创文章，转载或复制请以超链接形式并注明出处。